Ok, hay muchas personas «en la vuelta» que están tanto para hacer dinero fácil, como para molestar simplemente.. o hacer cosas por su gracia.
De cualquier manera, cuando estas acciones inciden en el resto de los usuarios, simples mortales, de mala forma, empieza a molestarme un poco. Todavía no me he topado con ninguno real.. pero como dice Alejando en Spamloco, desde siempre han habido casos de phishing..
Lo gracioso, es que ahora Google habilitó el servicio de «hostear» paginas desde Drive (ex-google docs), por lo que ahora podemos generar sitios web, digamos de alguna forma, dinámicos, hosteados por Google. Esto significa, certificado SSL de Google, dominio real de Google..
Solo nos falta una web «real» de google, con alguna que otra linea extra.. Que mejor ejemplo de login, que el mismo Gmail.
Gmail phishing – Click en la imagen para agrandar.
Esta es una captura del sitio de prueba de concepto. El sitio lo pueden ver aqui. Esto ya fue reportado al equipo de seguridad de Google con el ticket #1215078395. La respuesta fue que el servicio esta funcionando correctamente, y que eso seria un uso mal intencionado. Me dieron permiso de dejar publicado el sitio con fines educativos para educar a los usuarios de potenciales sitios de phishing.
Un ejemplo de ataque seria que el atacante envie una cadena de mails con un link al sitio, con un mensaje complejo como tambien con un ejemplo burdo:
«Has visto el nuevo look de Gmail?? http://www.gmail.com/ Si no te gusta, ayudanos a que lo vuelvan a como estaba antes contestando este mail, todos juntos podemos! «
La diferencia esta, como siempre, en la URL. Solo que ahora no vamos a fijarnos en si esta «el HTTPS» porque tenemos cifrado SSL, tampoco es fijarnos en el certificado SSL, porque es provisto por Google. En este caso tenemos que ver el dominio en el cual esta hospedado el sitio. Si bien es un sitio de Google, no es el dominio correspondiente para autenticarse:
El dominio para autenticarse con Google es accounts.google.com siempre. Así que ademas de fijarnos que sea una conexión segura (https), que el certificado sea real, debemos fijarnos que si nos piden autenticacion para Google, sea ese dominio (accounts.google.com).
Espero les sirva para difundir a sus usuarios, amigos y/o familiares para mostrarles un caso «real» y hacerles hincapié en las precauciones a tomar.
Quiero agradecerle a «Fachita» Faggiani que me dio una mano en la preparación del sitio.
Mvdtechnology 
Comentarios recientes